勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。勒索病毒利用各种非对称加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。勒索病毒的变种很多,其恶意行为性质恶劣、危害极大,一旦感染之后未能及时处置的话,将给用户带来无法估量的损失。目前勒索病毒及其变种已经在各行各业泛滥,涉及国计民生的重要行业,比如医疗、交通、政府机构、重要企业等均能幸免。
勒索病毒常见的入侵、感染和破坏流程如下:
可以看出,勒索病毒文件一旦进入本地,就会自动运行,并在内网横向扩散,寻找加密对象。文件一旦加密之后,除了拥有解密私钥的攻击者本人或者团队,其他人是几乎不可能解密。加密完成后,通常还会修改壁纸,在桌面等明显位置生成勒索提示文件,指导用户去缴纳赎金。另外,勒索病毒变种类型非常快,对常规的杀毒软件都具有免疫性。攻击的样本以exe、js、wsf、vbe等类型为主,对常规依靠特征检测的安全产品是一个极大的挑战。
为此,安恒信息经过与勒索病毒大量的斗争经验总结出了下面的组合拳方案,可以彻底阻止已知勒索病毒的入侵和未知勒索病毒的恶意行为。
组合拳第一招:APT产品从边界流量快速识别勒索病毒。
安恒信息APT产品,对网络中传输的文件样本先进行运行分析,对勒索病毒传播及时告警,对传播类型、传播途径、恶意代码利用、回连CC域名等进行深度解析,可以准确定位感染源和感染主机。
安恒信息APT产品,通过内置沙箱虚拟执行环境,对流量中勒索病毒动态行为分析,捕获其动态行为、网络行为、进程行为、文件行为、注册表行为等关键信息,识别其中可疑的勒索病毒特点,可以快速对网络中传输的勒索病毒样本进行预警。
通过APT云端情报共享,依托于云端海量数据、高级的机器学习和大数据分析能力,及时共享最新的安全威胁情报,发现已知和未知威胁恶意样本传播行为,协助对勒索病毒更精确的定位分析。
安恒信息APT产品勒索病毒预警功能界面
组合拳第二招:EDR产品的勒索专防专杀利器。
安恒信息EDR产品是主机安全与终端管理的一体化解决方案,目前已经服务于政府、医疗、交通、金融、运营商等各行业客户,在全国有大量的勒索病毒处理案例。
安恒信息EDR产品对于已知的勒索病毒的防御方案:
(1) 使用已知勒索病毒识别引擎及时识别已知勒索病毒。
(2) 开启已知勒索病毒启动防护引擎,确保已知勒索病毒程序无法启动。
(3) 与云端情报相结合,确保已知勒索病毒库的快速更新。
安恒信息EDR产品对于未知的勒索病毒的识别和加密阻止方案:
(1) 使用专利级的诱饵引擎方案识别未知勒索病毒。
(2) 使用专利级的未知勒索加密阻止引擎,阻止未知勒索病毒的加密行为。
上述两个引擎有效识别和阻止未知勒索病毒的加密行为,确保用户数据安全。
安恒信息EDR产品勒索防御功能界面
安恒信息EDR产品还拥有强大的网络流量隔离方案,防止勒索病毒的横向扩散。另外,通过控制中心的批量配置功能可以快速下发策略到指定的或者全部资产;通过自动巡检功能,可以方便的创建定时任务,全天候的检查资产安全状况。
安恒信息EDR产品提供了互联网版本的免费的试用通道:https://edr.dbappsecurity.com.cn。进一步的详情了解可以通过文章下方的热线咨询,或登录官方网站:www.dbappsecurity.com.cn了解更多服务内容。
组合拳第三招:勒索病毒溯源取证。
安恒信息应急处置工具箱提供专用的现场取证设备及管理分析平台,可有效的对勒索病毒事件进行追踪溯源。从两方面入手进行溯源:病毒特征方面,通过对现场取证发现的病毒进行分析,可得出其中的远控回连IP,对IP进行分析,即可获知控制着地址;日志方面,除了自动取证获得的日志外,还可导入各安全设备syslog日志进行分析,进一步确认勒索病毒的源头。
组合拳第四招:安全服务团队提供7x24小时的勒索病毒应急处理。
安恒信息安全服务团队有大量的勒索病毒事件处理经验,可以快速确认勒索病毒事件,协助用户部署防御和查杀能力,抑制病毒进一步扩散,已多次为客户挽回数据损失,受到客户好评。
有关勒索病毒的咨询、应急处理热线:400-6059-110,安恒信息为您提供全天候的服务,或登录官方网站:www.dbappsecurity.com.cn了解更多服务内容。